Identidade para a Contoso Corporation
A Microsoft fornece iDaaS (Identidade como serviço) em suas ofertas de nuvem por meio de Microsoft Entra ID. Para adotar o Microsoft 365 para empresas, a solução Contoso IDaaS precisou usar seu provedor de identidade local e incluir a autenticação federada com seus provedores de identidade confiáveis e de terceiros existentes.
A floresta contoso Active Directory Domain Services
A Contoso usa uma única floresta de Active Directory Domain Services (AD DS) para contoso.com com sete subdomínios, um para cada região do mundo. A sede, escritórios de hub regionais e escritórios satélite contêm controladores de domínio para autenticação e autorização local.
Aqui está a floresta contoso com domínios regionais para as diferentes partes do mundo que contêm hubs regionais.
A Contoso decidiu usar as contas e grupos na floresta contoso.com para autenticação e autorização para suas cargas de trabalho e serviços do Microsoft 365.
A infraestrutura de autenticação federada da Contoso
A Contoso permite que:
- Os clientes usarão suas contas microsoft, Facebook ou Google Mail para entrar no site público da empresa.
- Fornecedores e parceiros para usar suas contas do LinkedIn, Salesforce ou Google Mail para entrar na extranet do parceiro da empresa.
Aqui está o Contoso DMZ que contém um site público, uma extranet de parceiro e um conjunto de servidores do AD FS (Serviços de Federação do Active Directory (AD FS)). O DMZ está conectado à Internet que contém clientes, parceiros e serviços de Internet.
Os servidores do AD FS no DMZ facilitam a autenticação de credenciais do cliente por seus provedores de identidade para acesso ao site público e credenciais de parceiro para acesso à extranet do parceiro.
A Contoso decidiu manter essa infraestrutura e deducioná-la à autenticação do cliente e do parceiro. Os arquitetos de identidade da Contoso estão investigando a conversão dessa infraestrutura para Microsoft Entra soluções B2B e B2C.
Identidade híbrida com sincronização de hash de senha para autenticação baseada na nuvem
A Contoso queria usar sua floresta local do AD DS para autenticação nos recursos de nuvem do Microsoft 365. Ele decidiu usar a PHS (sincronização de hash de senha).
O PHS sincroniza a floresta local do AD DS com o locatário Microsoft Entra de sua assinatura do Microsoft 365 para empresas, copiando contas de usuário e grupo e uma versão hash das senhas da conta de usuário.
Para fazer a sincronização do diretório, a Contoso implantou a ferramenta Microsoft Entra Connect em um servidor em seu datacenter de Paris.
Aqui está o servidor que executa Microsoft Entra Conectar sondagem na floresta contoso AD DS para obter alterações e, em seguida, sincronizar essas alterações com o locatário Microsoft Entra.
Políticas de acesso condicional para Confiança Zero identidade e acesso ao dispositivo
A Contoso criou um conjunto de políticas de ID Microsoft Entra e acesso condicional do Intune para três níveis de proteção:
- As proteções de ponto de partida se aplicam a todas as contas de usuário.
- As proteções empresariais se aplicam à liderança sênior e à equipe executiva.
- As proteções de segurança especializadas se aplicam a usuários específicos nos departamentos financeiro, jurídico e de pesquisa que têm acesso a dados altamente regulamentados.
Aqui está o conjunto resultante de políticas de acesso condicional de identidade contoso e dispositivo.
Próxima etapa
Saiba como a Contoso usa sua infraestrutura de Configuration Manager do Microsoft Endpoint para implantar e manter a Windows 10 Enterprise atual em toda a sua organização.
Confira também
Implantar a identidade para o Microsoft 365
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de